一种移动终端上的应用管理系统和方法
【专利摘要】本发明公开了一种移动终端,与管理服务器通信连接,所述移动终端上驻留有各种应用,该移动终端包括:应用信息接收器,适于从所述管理服务器获取要在所述移动终端上保护的一个或者多个应用;锁屏器,适于在移动终端的屏幕上呈现接收用户密码输入的锁屏接口,当接收到的密码与预设密码不匹配时,保持呈现锁屏接口;当匹配时,去除该锁屏接口;以及应用监控器,适于获取在移动终端中最新的活动应用,当确定所述最新的活动应用为所述要保护的一个或者多个应用之一时,激活所述锁屏器。本发明还公开了一种相应的管理服务器、应用管理系统以及应用管理方法。
【专利说明】一种移动终端上的应用管理系统和方法
【技术领域】
[0001]本发明涉及移动通信领域,尤其涉及对移动终端上的应用进行管理的应用管理方式。
【背景技术】
[0002]随着信息技术的高速发展,出现了各种各样具有高处理能力的移动终端。适于在这些移动终端上运行的应用也越来越多地被开发出来,很多企业甚至都开发出了基于移动终端的商业应用。企业内部的员工也开始使用在移动终端上的应用来帮助与企业客户进行沟通和交易等。由于移动终端的便携性,用户很容易将移动终端同时用于个人和商业用途。因此,员工会在移动终端上下载并使用与企业本身业务无关的应用,并且有可能使得移动终端感染病毒并且导致企业的信息泄露。为了便于对移动终端进行管理,出现了对这些移动终端进行统一管理的企业移动终端管理系统(EMM)。
[0003]EMM通常包括安全管理、应用管理等。由于移动终端容易丢失和被偷窃,因此在移动终端上的数据处于高风险当中。当通过移动终端来访问企业数据并且在本地存储数据时,企业就失去了对在移动终端上的数据控制,因此需要EMM来对移动终端进行管理,以加强对在移动终端上的数据保护,包括防止对移动终端上数据的未经授权访问,具体措施可以包括密码保护、加密和/或远程擦除技术,即允许管理员删除出现问题的移动终端上的全部数据。
[0004]由于现在的移动终端上可以安装并且运行多种应用,一些应用是企业业务相关的应用、而另一些是例如终端用户的娱乐等用途的应用。移动终端由于其便携性,可能会被除了终端所有者之外的其他用户使用,因此对于不同类型的应用,需要提供不同级别的保护。
[0005]一种现有的移动终端保护方案是在移动终端上可以设置登录界面,只有用户在该登录界面上输入了正确的密码才可以登录到移动终端中。还有一种方式是,当移动终端丢失或者失窃时,还可以通过从服务器向移动终端发送指令,以使得移动终端被锁定导致用户不能登录,或者可以删除移动终端上的所有应用和数据,从而防止用户使用移动终端上的应用。在这两种方案中,会对移动终端整体进行控制,但是没有办法针对特定的应用进行专I ]控制。
[0006]在还有一种现有的移动终端保护方案中,可以在应用的逻辑中增加用户登录环节,只有在用户输入了正确密码之后才能使用该应用。但是对于这种方案来说,需要在每个应用中都加入登录处理,而应用并非全部由企业来开发,并且用户在每个应用上的用户名和密码也不相同,从而导致无法在EMM中进行统一管理。另一方面,在用户成功登录后并在用户退出登录之前,用户一直可以直接使用该应用,然而,在实践中,经常存在用户登录应用之后,该移动终端被其它用户使用的情况,此时现有的保护方案难以对应用进行保护。
[0007]因此,需要一种不用修改应用的内部逻辑、就可以在移动终端中对特定应用进行保护的应用保护方案。
【发明内容】
[0008]为此,本发明提供一种新的方案以力图解决或者至少缓解上面存在的问题。
[0009]根据本发明的一个方面,提供了一种移动终端,与管理服务器通信连接,该移动终端上驻留有各种应用。该移动终端包括:应用信息接收器,适于从管理服务器获取要在移动终端上保护的一个或者多个应用;锁屏器,适于在移动终端的屏幕上呈现接收用户密码输入的锁屏接口,当接收到的密码与预设密码不匹配时,保持呈现锁屏接口 ;当匹配时,去除该锁屏接口 ;以及应用监控器,适于获取在移动终端中最新的活动应用,当确定所述最新的活动应用为所述要保护的一个或者多个应用之一时,激活所述锁屏器。
[0010]可选地,根据本发明的移动终端还包括密码接收器,适于从管理服务器获取该移动终端上的预设密码。
[0011]可选地,根据本发明的移动终端还包括信令处理器,适于从与移动终端通信连接的信令服务器接收信令,当信令为下载应用信息信令时,指示应用信息接收器从管理服务器获取要在所述移动终端上保护的一个或者多个应用,以及当信令为下载密码信令时,指示密码接收器从管理服务器获取该移动终端上的预设密码。
[0012]可选地,在根据本发明的移动终端中,应用监控器每隔预定时间,例如每隔50毫秒获取在移动终端中最新的活动应用。
[0013]根据本发明的还有一个方面,提供了一种管理服务器,与移动终端通信连接。该管理服务器包括:信息处理器,适于生成要发送给移动终端的控制信息,并基于该控制信息生成通知消息并发送该通知消息到与该管理服务器通信相连的信令服务器;以及信息分配器,适于接收移动终端的访问请求,并将控制信息返回给所述移动终端,其中访问请求是移动终端在接收到信令服务器的信令之后发出的请求,以及其中控制信息包括要在移动终端上进行保护的一个或者多个应用信息,通知消息包括下载保护应用信息的通知消息,以及访问请求包括获取要在移动终端上进行保护的一个或者多个应用信息的下载请求。
[0014]可选地,在根据本发明的管理服务器中,控制信息包括移动终端上的预设密码信息,通知消息包括下载预设密码的通知消息,以及访问请求包括获取该移动终端上的预设密码的下载请求。
[0015]根据本发明的还有一个方面,提供了一种移动终端的应用管理系统,包括:根据本发明的管理服务器;一个或者多个根据本发明的移动终端;以及信令服务器,与管理服务器通信连接,从管理服务器接收通知消息,基于该通知消息生成信令,并经由网络将所述信令发送给所述一个或者多个移动终端。
[0016]根据本发明的还有一个方面,提供了 一种应用管理方法,该方法在移动终端中执行并对该移动终端上的各种应用进行管理。该应用管理方法包括步骤:从与移动终端通信连接的管理服务器获取要在移动终端上保护的一个或者多个应用;获取在移动终端中最新的活动应用,并确定最新的活动应用是否为要保护的一个或者多个应用之一;当确定最新的活动应用为要保护的一个或者多个应用之一时,在移动终端的屏幕上呈现接收用户密码输入的锁屏接口 ;以及当接收到的密码与预设密码不匹配时,保持呈现锁屏接口 ;以及当匹配时,去除该锁屏接口。
[0017]可选地,根据本发明的应用管理方法,还包括步骤:从管理服务器获取该移动终端上的预设密码。[0018]根据本发明的还有一个方面,提供了一种应用管理方法,该方法适于在与一个或者多个移动终端通信相连的管理服务器上执行,该方法包括步骤:生成要发送给移动终端的控制信息,并基于该控制信息生成通知消息并发送该通知消息到与该管理服务器通信相连的信令服务器;接收到来自移动终端的访问请求时,作为对所述访问请求的响应将控制信息返回给移动终端,其中访问请求是移动终端在接收到信令服务器的信令之后发出的请求;其中控制信息包括要在移动终端上进行保护的一个或者多个应用信息,通知消息包括下载保护应用信息的通知消息,以及访问请求包括获取要在移动终端上进行保护的一个或者多个应用信息的下载请求。
[0019]可选地,在根据本发明的应用管理方法中,控制信息包括移动终端上的预设密码信息,通知消息包括下载预设密码的通知消息,以及访问请求包括获取该移动终端上的预设密码的下载请求。
[0020]根据本发明的应用管理方式,首先从管理服务器获取移动终端中要进行保护的应用,当这些应用由于用户的操作而显示在移动终端屏幕最上方时,会在该应用上叠加一个锁屏界面,只有在用户输入了正确的密码之后,锁屏界面才会消失,并呈现出在下方的受保护应用。通过这种方式,可以设置要保护的应用,而且可以在应用之外设置保护应用的统一保护方式。
[0021]另外,根据本发明的应用管理方式,移动终端上的受保护应用和预设密码都是通过与移动终端通信连接的管理服务器提供的,从而可以保证用户无法去修改这些信息,这进一步提高了移动终端的安全性。
【专利附图】
【附图说明】
[0022]为了实现上述以及相关目的,本文结合下面的描述和附图来描述某些说明性方面,这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的部件或元素。
[0023]图1示出了根据本发明一个实施例的移动终端的应用管理系统的示意图;
[0024]图2示出了根据本发明一个实施例的管理服务器的结构示意图;
[0025]图3示出了根据本发明一个实施例的移动终端的结构示意图;
[0026]图4示出了根据本发明一个实施例的锁屏接口的示意图;
[0027]图5示出了根据本发明一个实施例的、适于在管理服务器上执行的应用管理方法的流程图;以及
[0028]图6示出了根据本发明一个实施例的、适于在移动终端上执行的应用管理方法的流程图。
【具体实施方式】
[0029]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0030]图1示出了根据本发明一个实施例的移动终端的应用管理系统100的示意图。如图1所示,应用管理系统100包括一个或者多个移动终端121、122、...、12η (在下文中统称为移动终端120),适于由系统管理员使用来对整个管理系统进行管理的管理终端140,管理服务器130,以及信令服务器150。
[0031]一般而言,管理服务器130和信令服务器150分布在一个机房中,或者分布在经由高速网络相连的不同机房中,甚至有可能集成在一台物理服务器中,所以这些部署方式都在本发明的保护范围之内。
[0032]取决于移动终端的网络类型,移动终端120可以经由各种移动数据网络170与管理服务器130和/或进行通信。例如当移动终端120具有GPRS、3G、4G等移动通信功能时,移动终端120可以经由移动通信服务商提供的移动通信网络与管理服务器130和信令服务器150进行通信;而当移动终端120通过WiFi等无线通信方式进行连接时,则其可以利用热点提供的互联网络与管理服务器130和信令服务器150进行通信。无论移动终端120采用哪种网络方式连接管理服务器130和信令服务器150,只要移动终端120可以连接到管理服务器130和信令服务器150,所有这些网络方式都在本发明的保护范围之内。
[0033]图2示出了图1所示的应用管理系统100中的管理服务器130的结构示意图。如图2所示,管理服务器130包括信息处理器210。信息处理器210可以生成要发送给移动终端的控制信息。控制信息可以包括要在移动终端进行保护的一个或者多个应用的应用信息。每个应用的应用信息可以包括应用的大小,应用包名称、类别、图标、URL地址等。另外,可选地,当要向移动终端提供预设密码时,控制信息可以是移动终端上的预设密码。
[0034]在实践中,系统管理员在管理终端140上进行操作,从而与信息处理器210进行交互,从而生成针对某个移动终端的控制信息。信息处理器210通常具有web服务器功能,其利用诸如HTTP协议之类的网络协议与管理终端140进行通信,并在管理终端140的屏幕上显示适于生成控制信息的web页面。系统管理员在该web页面上进行操作,相应信息会发送到信息处理器210,从而在信息处理器210上生成控制信息。
[0035]可选地,在信息处理器210生成了控制信息之后,可以存储这些控制信信息。为此,管理服务器130包括存储器220,信息处理器210可以将生成的控制信息与移动终端标识符相关联地存储到存储器220中。一般而言,由于控制信息具有json格式,可以直接将控制信息存储到存储器220中而不需修改。
[0036]在生成了控制信息之后,信息处理器210基于该控制信息生成通知消息,并将所生成的通知消息发送给信令服务器150,以便信令服务器150通知相应的移动终端。通知消息一般不包括策略的具体内容,而是仅仅包括移动终端标识以及要移动终端执行的操作标记。例如,通知消息具有如下格式:{identifier:otype},其中identifier表示移动终端的唯一识别码,而otype表示移动终端在收到消息要要执行的操作类型。
[0037]例如当通知消息为指示移动终端下载受保护应用信息时,通知消息为IclientID:disapp};而当通知消息为指示移动终端下载预设密码时,通知消息为{clientID:reset_password}。
[0038]由于通知消息没有包括控制信息的具体内容,这样通知消息的长度就比较简短,并且也便于信令服务器150进行处理。信令服务器150在接收到来自管理服务器130的通知消息之后,对该通知消息进行解析,提取出其中的移动终端标识以及操作类型,并基于此创建信令消息,随后将该信令消息发送给与该移动终端标识相对应的移动终端。具体而言,根据本发明的一个实施方式,通知消息的格式为{identifier:otype},则信令服务器150会创建内容包括otype的信令消息,并将该信息消息发送给标识为identifier的移动终端。例如,通知消息为{0bffda3a0b87a07d9026ac8228424b80:disapp},则信令服务器 150将内容为disapp的信令消息发送给移动终端标识为0bffda3a0b87a07d9026ac8228424b80的移动终端,以指示该移动终端去下载要在该移动终端上受保护的一个或者多个应用信息列表。而当通知消息为{0bffda3a0b87a07d9026ac8228424b80:reset_password},则信令服务器150将内容为reSet_paSSWOrd的信令消息发送给移动终端标识为0bffda3a0b87a07d9026ac8228424b80的移动终端,以指示该移动终端去下载要在该移动终端上的预设密码。
[0039]由于信令服务器150处理的数据较为简单,使得信令服务器150上的处理可以集中在可靠地将信令发送给各个移动终端上,这可以大大提高信令服务器150的可靠性和处理能力。这样,一台信令服务器150就可以应对非常大量的移动终端。
[0040]移动终端120在接收到来自信令服务器150的信令消息之后,向管理服务器150请求控制信息。下文中会对移动终端120的具体结构进行详细描述,这里不再赘述。
[0041]为了应对移动终端120在收到信令消息之后发起的访问请求,管理服务器130包括信息分配器230。信息分配器230处理来自移动终端120的访问请求。当访问请求中的标识指示要获取分配给该移动终端120的控制信息时,信息分配器230获取与该访问请求中的移动终端标识相对应的控制信息,并返回给移动终端120。可选地,由于控制信息通常与移动终端标识相关联地存储在存储器220中,因此,信息分配器230可以移动终端标识为关键字在存储器220中查找相应的控制信息,并且将该控制信息返回给移动终端120。
[0042]控制信息例如具有类文本描述的json格式,当控制信息为移动终端上受保护的
应用信息时,下面是该种控制信息的一个示例:
[0043]
【权利要求】
1.一种移动终端,与管理服务器通信连接,所述移动终端上驻留有各种应用,该移动终端包括: 应用信息接收器,适于从所述管理服务器获取要在所述移动终端上保护的一个或者多个应用; 锁屏器,适于在移动终端的屏幕上呈现接收用户密码输入的锁屏接口,当接收到的密码与预设密码不匹配时,保持呈现锁屏接口 ;当匹配时,去除该锁屏接口 ;以及 应用监控器,适于获取在移动终端中最新的活动应用,当确定所述最新的活动应用为所述要保护的一个或者多个应用之一时,激活所述锁屏器。
2.如权利要求1所述的移动终端,还包括密码接收器,适于从所述管理服务器获取该移动终端上的预设密码。
3.如权利要求1或者2所述的移动终端,还包括信令处理器,适于从与移动终端通信连接的信令服务器接收信令,当所述信令为下载应用信息信令时,指示所述应用信息接收器从所述管理服务器获取要在所述移动终端上保护的一个或者多个应用,以及 当所述信令为下载密码信令时,指示所述密码接收器从所述管理服务器获取该移动终端上的预设密码。
4.一种管理服务器 ,与移动终端通信连接,该管理服务器包括: 信息处理器,适于生成要发送给移动终端的控制信息,并基于该控制信息生成通知消息并发送该通知消息到与该管理服务器通信相连的信令服务器;以及 信息分配器,适于接收所述移动终端的访问请求,并将所述控制信息返回给所述移动终端,其中所述访问请求是移动终端在接收到信令服务器的信令之后发出的请求,以及 其中所述控制信息包括要在移动终端上进行保护的一个或者多个应用信息,所述通知消息包括下载保护应用信息的通知消息,以及所述访问请求包括获取要在移动终端上进行保护的一个或者多个应用信息的下载请求。
5.如权利要求4所述的管理服务器,其中所述控制信息包括移动终端上的预设密码信息,所述通知消息包括下载预设密码的通知消息,以及所述访问请求包括获取该移动终端上的预设密码的下载请求。
6.一种移动终端的应用管理系统,包括: 如权利要求4或者5所述的管理服务器; 一个或者多个如权利要求1-4中任一个所述的移动终端;以及 信令服务器,与所述管理服务器通信连接,从所述管理服务器接收通知消息,基于该通知消息生成信令,并经由网络将所述信令发送给所述一个或者多个移动终端。
7.一种应用管理方法,在移动终端中执行并对该移动终端上的各种应用进行管理,该应用管理方法包括步骤: 从与移动终端通信连接的管理服务器获取要在所述移动终端上保护的一个或者多个应用; 获取在移动终端中最新的活动应用,并确定所述最新的活动应用是否为要保护的一个或者多个应用之一; 当确定所述最新的活动应用为要保护的一个或者多个应用之一时,在移动终端的屏幕上呈现接收用户密码输入的锁屏接口 ;以及当接收到的密码与预设密码不匹配时,保持呈现锁屏接口 ;以及当匹配时,去除该锁屏接口。
8.如权利要求7所述的应用管理方法,还包括步骤: 从所述管理服务器获取该移动终端上的预设密码。
9.如权利要求7或者8所述的应用管理方法,所述从获取要在所述移动终端上保护的一个或者多个应用的步骤包括: 从移动终端通信连接的信令服务器接收下载应用信息信令;以及根据该下载应用信息信令从所述管理服务器获取要在所述移动终端上保护的一个或者多个应用信息, 所述获取该移动终端上的预设密码的步骤包括: 从移动终端通信连接的信令服务器接收下载密码信令;以及 根据该下载密码信令从所述管理服务器获取所述移动终端上的预设密码。
10.一种应用管理方法,该方法适于在与一个或者多个移动终端通信相连的管理服务器上执行,该方法包括步骤: 生成要发送给移动终端的控制信息,并基于该控制信息生成通知消息并发送该通知消息到与该管理服务器通信相连的信令服务器; 接收到来自所述移动终端的访问请求时,作为对所述访问请求的响应将所述控制信息返回给所述移动终端,其中所述访问请`求是移动终端在接收到信令服务器的信令之后发出的请求; 其中所述控制信息包括要在移动终端上进行保护的一个或者多个应用信息,所述通知消息包括下载保护应用信息的通知消息,以及所述访问请求包括获取要在移动终端上进行保护的一个或者多个应用信息的下载请求。
【文档编号】H04W12/00GK103763428SQ201310683062
【公开日】2014年4月30日 申请日期:2013年12月12日 优先权日:2013年12月12日
【发明者】刘前伟, 王二亮 申请人:北京宝利明威软件技术有限公司